16568
Goto Top

SBS 2011 - kein Internet

Hallo liebe Mitadministratoren,

folgendes Szenario:

Server SBS 2011, richtig durchkonfiguriert.
Von heute auf morgen nach Updates folgendes Problem:
Server sagt laut Netzwerkcenter zwar Internet, aber es findet keine Namensauflösung, geschweige denn ein Ping ins Internet statt.

route print sagt nichts, was nicht stimmen würde, DNS-Server sagt, er würde ja gerne, aber er kann halt ohne Zugang zum Internet nix auflösen.

Clients haben mittlerweile den DNS vom Server und den des Gateways drin, sonst würde gar nichts mehr gehen.

Kabel gewechselt, Switch i.O, Gateway auch.


Any clues?

Ach ja, der Assi vom SBS sagt, er kann den Router nicht finden...?
(liegt vielleicht daran, daß er ja auch jetzt schon bsp. 8.8.8.8 nicht anpingen kann..)


Danke


Lonesome Walker

Content-Key: 238488

Url: https://administrator.de/contentid/238488

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: aqui
Lösung aqui 19.05.2014 aktualisiert um 14:52:09 Uhr
Goto Top
Das er ganz ohne jegliches DNS schon 8.8.8.8 nicht anpingen kann lässt ja schon mal generell auf ein IP Connectivity Problem ins Internet schliessen.
  • Kann er denn die lokale Router P pingen ?
  • Wenn du arp -a eingibst "sieht" der Server die Layer 2 Mac des Routers ?
  • Kannst du generell ein Internet Problem des Routers ausschliessen ? Also funktioniert von hier ein Ping auf 8.8.8.8 ?
Mitglied: 16568
16568 19.05.2014 aktualisiert um 12:26:44 Uhr
Goto Top
Hallo aqui,

Das er ganz ohne jegliches DNS schon 8.8.8.8 nicht anpingen kann lässt ja schon mal generell auf ein IP Connectivity Problem
ins Internet schliessen.

Röchtöch.

* Kann er denn die lokale Router P pingen ?

Jepp, intern ALLES.

* Wenn du arp -a eingibst "sieht" der Server die Layer 2 Mac des Routers ?

Jepp.

* Kannst du generell ein Internet Problem des Routers ausschliessen ? Also funktioniert von hier ein Ping auf 8.8.8.8 ?

Jepp, alle Clients keine Probleme, hängen am selben Switch, alle Kabel getauscht, Ports gewechselt, Server direkt ans GW.

Keine Verbesserung, was mich doch etwas ratlos macht.
Klar könnte ich das jetzt auf die Updates schieben, aber:
Updates waren .net Framework, also nichts, was den Netzwerkstack betreffen würde oder so.
Auch keine Treiber-Probleme.
Im Eventlog habe ich aber einen DNS 410, was etwas mit der Netzwerkadresse zu tun hat, denn da stand lustigerweise eine 2. IPv6er drin, keine Ahnung, woher die gekommen ist...


Lonesome Walker
Mitglied: aqui
aqui 19.05.2014 aktualisiert um 12:32:18 Uhr
Goto Top
War eigentlich klar das du solche grundlegenden Sachen ja schon wasserdicht gecheckt hast... face-wink
Gut dann ists eindeutig und kann nur was direkt am Server sein. IP Stack, Firewall etc. Da müssen dann die Winblows Profis ran hier....
Ketzerisch hätt ich jetzt mal gesagt.."Reboot tut gut..." Hast du vermutlich aber auch schon probiert ?!
Vielleicht mal v6 komplett deaktivieren...kann es aber eigentlich nicht sein bei Dual Stack.
Die 2te v6 IP kann von den Privacy Extensions kommen wenn die aktiv sind.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2014 aktualisiert um 12:32:32 Uhr
Goto Top
Ich nehme mal an, daß ipconfig/all auch alles korrekt anzeigt und netstat -r die korrekte Route zeigt?

Da würde ich einfach mal den netwerkmonitor oder Wireshark anwerfen und mal schauen, was für Pakete untwerwegs sind, wenn man einen traceroute oder ping nach außen (z.B. zu 8.8.8.8) macht.

lks

Nachtrag: hast Du auch V6-Connectivity? Nicht daß der SBS versucht über IPv6 nach außen zu kommen und damit auf die Nase fällt.
Mitglied: 16568
16568 19.05.2014 um 12:35:07 Uhr
Goto Top
Hallo aqui,

War eigentlich klar das du solche grundlegenden Sachen ja schon wasserdicht gecheckt hast... face-wink

Joa, daher hätte ich eher auf so Erfahrungswerte von hier spekuliert, a la: ja, hatten wir heute auch schon, liegt an Update XYZ oder so.

Gut dann ists eindeutig und kann nur was direkt am Server sein. IP Stack, Firewall etc. Da müssen dann die Winblows Profis
ran hier....

Grml, das Dumme is halt, ich habe ja auch die tollen Zettel von MS wo draufsteht, daß ich das eigentlich wissen sollte, warum das jetzt nicht lüppt.

Ketzerisch hätt ich jetzt mal gesagt.."Reboot tut gut..." Hast du vermutlich aber auch schon probiert ?!

Jopp, sogar schon mit Netzwerkstecker ziehen, und gucken, ob der Server das merkt und so.
Tut er, sagt artig, Kabel weg, Kabel da, Reboot und Ausschalten/10s warten/Einschalten haben nix gebracht.

Ich würde halt nur ungern eine 2. Netzwerkkarte verbasteln, da ich aus Erfahrung schon weiß, das der Assi vom SBS das schafft, aber halt ab und zu andere Probleme auftauchen face-sad


Danke

Lonesome Walker
Mitglied: 16568
16568 19.05.2014 aktualisiert um 12:58:42 Uhr
Goto Top
Hallo lks,

Ich nehme mal an, daß ipconfig/all auch alles korrekt anzeigt und netstat -r die korrekte Route zeigt?

AUA, vorher ja, jetzt habe ich da was gaaaanz Lustiges!
Ich habe jetzt 2x v6, und nein, da is nix mit temporär oder so:
Verbindungslokale IPv6-Adresse: fe80:: (und das 2x, also eher ungewöhnlich...)

Nachtrag: hast Du auch V6-Connectivity? Nicht daß der SBS versucht über IPv6 nach außen zu kommen und damit auf
die Nase fällt.

Nö, nach außen nich, aber so wie es aussieht, resultiert der Ärger wohl wegen kaputtem IPv6... face-sad


Lonesome Walker
PS: tada, wieder weg, wieder da, wieder weg, wieder da... wie gibt es das, daß eine v6er IP mal da is, und plötzlich wieder verschwindet?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2014 um 13:04:57 Uhr
Goto Top
Zitat von @16568:

PS: tada, wieder weg, wieder da, wieder weg, wieder da... wie gibt es das, daß eine v6er IP mal da is, und plötzlich
wieder verschwindet?

Billies Wege sind manchmal unergründlich. Aber ich tippe mal, daß da irgendeine Autokonfiguration spinnt.

Ich würde einfach testweise mal v6 deaktivieren und schauen was passiert.

lks
Mitglied: 16568
16568 19.05.2014 um 13:22:41 Uhr
Goto Top
Hallo lks,

Billies Wege sind manchmal unergründlich. Aber ich tippe mal, daß da irgendeine Autokonfiguration spinnt.
Ich würde einfach testweise mal v6 deaktivieren und schauen was passiert.

v6 auf einem Server zu deaktivieren führt unweigerlich zu Problemen mit div. Diensten, speziell der SBS findet das ganz toll:
klick

Ist also keine Option für mich, muß ich wohl oder übel morgen zum Kunden fahren...


Lonesome Walker
Mitglied: keine-ahnung
keine-ahnung 19.05.2014 um 13:40:35 Uhr
Goto Top
Moin,
keine Ahnung, woher die gekommen ist...
wer hat nach mit gerufen face-wink?
ch würde einfach testweise mal v6 deaktivieren und schauen was passiert.
Das würde ich mal zunächst nicht machen ... aber das mit ipconfig ist eine gute Idee face-smile!
Ich würde halt nur ungern eine 2. Netzwerkkarte verbasteln
Was ist denn das für eine Möhre? Hat die physisch nur einen NIC?

Die updates von letzter Woche haben zumindest bei mir ein solches Bild nicht malen können face-wink, lassen wir die mal zunächst aussen vor. Den NIC würde ich wechseln, wenn es mit ipconfig und dcdiag nix Relevantes gibt ...

LG, Thomas
Mitglied: 16568
16568 19.05.2014 aktualisiert um 13:59:02 Uhr
Goto Top
Hallo Thomas,

Was ist denn das für eine Möhre? Hat die physisch nur einen NIC?

Noe, nur ist SBS mit 2 NIC's unsupported, und da wir hier keinen Unfug machen wollen, ist die 2. im BIOS deaktiviert.

Die updates von letzter Woche haben zumindest bei mir ein solches Bild nicht malen können face-wink, lassen wir die mal
zunächst aussen vor. Den NIC würde ich wechseln, wenn es mit ipconfig und dcdiag nix Relevantes gibt ...

Wie schon gehabt, ipconfig macht 2xv6, manchmal auch nicht.

dcdiag ist total aufschlussreich:

Verzeichnisserverdiagnose


Anfangssetup wird ausgefhrt:

   Der Homeserver wird gesucht...

   Homeserver = SERVER

   * Identifizierte AD-Gesamtstruktur. 
   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\SERVER

      Starting test: Connectivity

         ......................... SERVER hat den Test Connectivity bestanden.



Prim„rtests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\SERVER

      Starting test: Advertising

         ......................... SERVER hat den Test Advertising bestanden.

      Starting test: FrsEvent

         ......................... SERVER hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         ......................... SERVER hat den Test DFSREvent bestanden.

      Starting test: SysVolCheck

         ......................... SERVER hat den Test SysVolCheck bestanden.

      Starting test: KccEvent

         ......................... SERVER hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         ......................... SERVER hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         ......................... SERVER hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc

         ......................... SERVER hat den Test NCSecDesc bestanden.

      Starting test: NetLogons

         [SERVER] Die Anmeldeinformationen berechtigen nicht zum Ausfhren

         dieses Vorgangs.

         Das fr diesen Test verwendete Konto muss fr die Dom„ne dieses

         Computers ber Netwerkanmelderechte verfgen.

         ......................... SERVER hat den Test NetLogons nicht

         bestanden.

      Starting test: ObjectsReplicated

         ......................... SERVER hat den Test ObjectsReplicated

         bestanden.

      Starting test: Replications

         [Replikationsberprfung, SERVER] Fehler bei

         DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105

         "Der Replikationszugriff wurde verweigert."  

         ......................... SERVER hat den Test Replications nicht

         bestanden.

      Starting test: RidManager

         ......................... SERVER hat den Test RidManager bestanden.

      Starting test: Services

            Der Dienst NTDS auf SERVER konnte nicht ge”ffnet werden. Fehler:

            0x5 "Zugriff verweigert"  

         ......................... SERVER hat den Test Services nicht

         bestanden.

      Starting test: SystemLog

         Warnung. Ereignis-ID: 0x000003F6

            Erstellungszeitpunkt: 05/19/2014   13:00:36

            Ereigniszeichenfolge:

            Zeitberschreitung bei der Namensaufl”sung fr den Namen www.microsoft.com, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

         Warnung. Ereignis-ID: 0x000003EE

            Erstellungszeitpunkt: 05/19/2014   13:00:36

            EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einfgen des Index (%1) wurde nicht gefunden..
            (Ereigniszeichenfolge (Ereignisprotokoll = System) konnte nicht

            abgerufen werden. Fehler: 0x3ab5)

         Warnung. Ereignis-ID: 0x00001695

            Erstellungszeitpunkt: 05/19/2014   13:09:42

            Ereigniszeichenfolge:

            Die dynamische Registrierung oder das L”schen einer oder mehrerer DNS-Eintr„ge, die mit der DNS-Dom„ne "domain.local." verknpft sind, ist gescheitert. Diese Eintr„ge werden von anderen Computern verwendet, damit diese Server entweder als Dom„nencontroller (wenn die angegebene Dom„ne eine Active Directory-Dom„ne ist) oder als LDAP-Server (wenn die angegebene Dom„ne eine Anwendungspartition ist) ermittelt werden k”nnen     


         Warnung. Ereignis-ID: 0x00001695

            Erstellungszeitpunkt: 05/19/2014   13:09:42

            Ereigniszeichenfolge:

            Die dynamische Registrierung oder das L”schen einer oder mehrerer DNS-Eintr„ge, die mit der DNS-Dom„ne "DomainDnsZones.domain.local." verknpft sind, ist gescheitert. Diese Eintr„ge werden von anderen Computern verwendet, damit diese Server entweder als Dom„nencontroller (wenn die angegebene Dom„ne eine Active Directory-Dom„ne ist) oder als LDAP-Server (wenn die angegebene Dom„ne eine Anwendungspartition ist) ermittelt werden k”nnen     


         Warnung. Ereignis-ID: 0x00001695

            Erstellungszeitpunkt: 05/19/2014   13:09:42

            Ereigniszeichenfolge:

            Die dynamische Registrierung oder das L”schen einer oder mehrerer DNS-Eintr„ge, die mit der DNS-Dom„ne "ForestDnsZones.domain.local." verknpft sind, ist gescheitert. Diese Eintr„ge werden von anderen Computern verwendet, damit diese Server entweder als Dom„nencontroller (wenn die angegebene Dom„ne eine Active Directory-Dom„ne ist) oder als LDAP-Server (wenn die angegebene Dom„ne eine Anwendungspartition ist) ermittelt werden k”nnen     


         Warnung. Ereignis-ID: 0x00001696

            Erstellungszeitpunkt: 05/19/2014   13:40:30

            Ereigniszeichenfolge:

            Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Eintr„ge ist fehlgeschlagen. Fehler: 


         Warnung. Ereignis-ID: 0x00000086

            Erstellungszeitpunkt: 05/19/2014   13:40:31

            Ereigniszeichenfolge:

            Aufgrund eines DNS-Aufl”sungsfehlers auf "" konnte vom "NtpClient" kein manueller Peer als Zeitquelle festgelegt werden. In 3473457 Minuten wird ein weiterer Versuch ausgefhrt und das Intervall fr weitere Versuche anschlieáend verdoppelt. Fehler: Der angeforderte Name ist gltig, es wurden jedoch keine Daten des angeforderten Typs gefunden. (0x80072AFC)  

         Warnung. Ereignis-ID: 0x000003F6

            Erstellungszeitpunkt: 05/19/2014   13:40:34

            Ereigniszeichenfolge:

            Zeitberschreitung bei der Namensaufl”sung fr den Namen ctldl.windowsupdate.com, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

         Warnung. Ereignis-ID: 0x00000086

            Erstellungszeitpunkt: 05/19/2014   13:40:46

            Ereigniszeichenfolge:

            Aufgrund eines DNS-Aufl”sungsfehlers auf "" konnte vom "NtpClient" kein manueller Peer als Zeitquelle festgelegt werden. In 3473457 Minuten wird ein weiterer Versuch ausgefhrt und das Intervall fr weitere Versuche anschlieáend verdoppelt. Fehler: Der angeforderte Name ist gltig, es wurden jedoch keine Daten des angeforderten Typs gefunden. (0x80072AFC)  

         ......................... SERVER hat den Test SystemLog nicht

         bestanden.

      Starting test: VerifyReferences

         ......................... SERVER hat den Test VerifyReferences

         bestanden.

   
   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

   
   Partitionstests werden ausgefhrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: domain

      Starting test: CheckSDRefDom

         ......................... domain hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... domain hat den Test CrossRefValidation

         bestanden.

   
   Unternehmenstests werden ausgefhrt auf: domain.local

      Starting test: LocatorCheck

         ......................... domain.local hat den Test LocatorCheck

         bestanden.

      Starting test: Intersite

         ......................... domain.local hat den Test Intersite

         bestanden.

*seufz*
Die Fehler sind klar: wenn die Möhre nich ins Inet kann, gibts auch kein DNS.


Lonesome Walker
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2014 um 14:01:19 Uhr
Goto Top
Zitat von @16568:

Die Fehler sind klar: wenn die Möhre nich ins Inet kann, gibts auch kein DNS.

Das die "Möhre" behelfsweise alle DNS-Anfragen an das Gateway forwarded wäre keine Option, zumindest als temporärers workaround?

nachdem alle Kisten angepingt werden können soltle das ja vermutlich kurzfristig Abhilfe schaffen, auch wenn es nur eine Krücke wäre.

lks
Mitglied: keine-ahnung
keine-ahnung 19.05.2014 um 14:19:27 Uhr
Goto Top
Hi nochmal,
Noe, nur ist SBS mit 2 NIC's unsupported, und da wir hier keinen Unfug machen wollen, ist die 2. im BIOS deaktiviert.
so soll's auch sein ... aber was man im BIOS deaktiviert hat, kann man ja auch wieder aktivieren face-wink. Und umgekehrt ... kommst Du über eine KVM-Lösung auf das BIOS drauf? Ich würde als simpelste Lösung erst mal den "Ersatz-NIC" für die Büchse nehmen, dem die alte ipv4-Adresse geben und den Einrichtungsassi noch mal auf die Büchse loslassen ... irgendwie habe ich das Gefühl, dass da was mit dem NIC sein könnte.
Das die "Möhre" behelfsweise alle DNS-Anfragen an das Gateway forwarded wäre keine Option, zumindest als temporärers workaround?
Würde sich IMHO in der Domäne schlecht machen ...??

LG, Thomas
Mitglied: DerWoWusste
Lösung DerWoWusste 19.05.2014 aktualisiert um 15:13:36 Uhr
Goto Top
Moin.

Hat evtl. Windows Update einen neuen Treiber für die NIC spendiert? Das geht mitunter mit solchen Effekten einher. Es gibt einen höchst bekannten Bug in 2008 und R2 (und somit auch in SBS2011): http://izadpanah.blogspot.de/2010/11/windows-server-2008-losing-ip-addr ... mal lesen.

Evtl. hilft es, die Registryeinträge zu löschen (Key umbenennen) und nach einem Serverneustart, die NIC neu zu konfigurieren.
Mitglied: 16568
16568 19.05.2014 um 14:28:57 Uhr
Goto Top
Hallo lks,

Das die "Möhre" behelfsweise alle DNS-Anfragen an das Gateway forwarded wäre keine Option, zumindest als
temporärers workaround?

How to do so?
Ich müßte dann ja ALLES forwarden, und für DNS in der Domäne intern ist das ja auch nich das Gelbe vom Ei, nech...?

nachdem alle Kisten angepingt werden können soltle das ja vermutlich kurzfristig Abhilfe schaffen, auch wenn es nur eine
Krücke wäre.

Was mich nur anödet:
wenn ich egal welche externe IP anpinge, sagt er mir:
Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Antwort von {externe IP!}: Zielnetz nicht erreichbar.

Warum gibt er mir hier die externe IP, anstelle der internen?

Ich glaube, hier ist ein f*cking Routing-Problem... face-sad


Lonesome Walker
Mitglied: 16568
16568 19.05.2014 um 14:49:52 Uhr
Goto Top
Zitat von @16568:
Was mich nur anödet:
wenn ich egal welche externe IP anpinge, sagt er mir:
Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Antwort von {externe IP!}: Zielnetz nicht erreichbar.

Warum gibt er mir hier die externe IP, anstelle der internen?

Ich glaube, hier ist ein f*cking Routing-Problem... face-sad

Und ich sollte Recht behalten.

Danke an DerWoWusste!

Firewall sagt:
ja nee, is klar, neue MAC, neue IPv6, alter Name?
Spoofing -> Deny.


Thread closed face-smile


Lonesome Walker
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2014 um 15:17:34 Uhr
Goto Top
Zitat von @keine-ahnung:

> Das die "Möhre" behelfsweise alle DNS-Anfragen an das Gateway forwarded wäre keine Option, zumindest als
temporärers workaround?
Würde sich IMHO in der Domäne schlecht machen ...??

Mit alle war eigentlich alle externen gemeint.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2014 um 15:19:29 Uhr
Goto Top
Zitat von @16568:

Hallo lks,

> Billies Wege sind manchmal unergründlich. Aber ich tippe mal, daß da irgendeine Autokonfiguration spinnt.
> Ich würde einfach testweise mal v6 deaktivieren und schauen was passiert.

v6 auf einem Server zu deaktivieren führt unweigerlich zu Problemen mit div. Diensten, speziell der SBS findet das ganz
toll:
klick

Ist also keine Option für mich, muß ich wohl oder übel morgen zum Kunden fahren...


War ja auch nur zum testen gedachtt, ob dann das "Routing-Problem" weg. Das man sich damit andere Probleme einhandelt ist eigentlich offensichtlich.

lks